Już 25 maja 2018 roku zaczną być stosowane przepisy unijnego ogólnego rozporządzenia o ochronie danych osobowych, szerzej znanego jako RODO lub GDPR. Skrót RODO w ostatnim czasie rozpala wyobraźnie wielu przedsiębiorców, którzy obawiają się rewolucji w ochronie danych osobowych.
Co ważne – już obecnie regulacje dotyczące ochrony danych osobowych zapewniają w wielu miejscach ochronę podobną do tej wynikającej z RODO. Także przed pojawieniem się rozporządzenia o ochronie danych wdrażając projekty IT trzeba było uwzględnić szereg przepisów prawnych, niejednokrotnie rzutujących na UX. Oto jedna najważniejsze rozwiązania, które wprowadzają nowe przepisy dotyczące ochrony danych osobowych, a które powinieneś znać jeśli projektujesz rozwiązania IT.
Tekst jest streszczeniem obszernego artykułu Zofii Babickiej-Klecor w serwisie MamStartup.pl. Cały artykuł dostępny jest pod adresem:
Privacy by design
Przede wszystkim – uwzględnij prywatność już w fazie projektowania. Oznacza to, że już od samego początku musisz pamiętać o tym aby w Twoim serwisie czy aplikacji chronić dane osobowe użytkowników.
Privacy by default
Jako administrator danych musisz wdrożyć odpowiednie środki techniczne i organizacyjne, dzięki którym przetwarzane będą wyłącznie niezbędne dane. Obowiązek ten odnosi się nie tylko do ilości zbieranych danych osobowych, ale również do zakresu ich przetwarzania, okresu ich przechowywania oraz dostępności, natomiast środki mają za zadanie zapewnić by domyślnie dane osobowe nie były udostępniane nieokreślonej liczbie podmiotów bez działania osoby, której dane dotyczą.
Polityki ochrony danych
RODO nie precyzuje jakie dokładnie środki techniczne masz stosować do ochrony danych osobowych – jednakże wymaga od Ciebie abyś posiadał odpowiednie polityki i procedury (udokumentowane), adekwatne do Twojego biznesu i ryzyka naruszeń, zapewniające należytą ochronę danych osobowych Twoich użytkowników.
Możesz stosować m.in. szyfrowanie danych, ich pseudonimizację czy posiadać odpowiednie procedury tworzenia i przywracania backupów.
Nie zgłaszaj zbiorów – prowadź rejestr czynności przetwarzania
RODO nie wymaga już zgłaszania zbiorów danych osobowych do GIODO (w przyszłości UODO). Zamiast tego na większości administratorów danych osobowych, którzy przetwarzają dane w formie elektronicznej i nie robią tego sporadycznie został nałożony obowiązek prowadzenia rejestru czynności przetwarzania danych. Rejestr ten może być prowadzony w formie elektronicznej.
Podstawy przetwarzania danych osobowych
Podobnie jak do tej pory aby przetwarzać czyjeś dane trzeba będzie do tego mieć właściwą podstawę. Nowe przepisy zawarte w RODO wymieniają m.in.:
- Umowę – jest to np. umowa zawarta drogą elektroniczną, w oparciu o regulamin;
- Zgodę – czyli jedną z najpowszechniejszych podstaw przetwarzania danych osobowych w celach marketingowych;
- Konieczność wypełnienia obowiązku prawnego;
- Realizację celów wynikających z prawnie usprawiedliwionych celów administratora danych osobowych
Szczególne kategorie danych osobowych
Jeśli tworzysz aplikację, w której przetwarzasz dane o stanie zdrowia użytkownika (np. aplikację dla sportowców czy diabetyków) – uważaj! RODO wymienia kilka szczególnych kategorii danych osobowych, dla których przetwarzania trzeba spełnić szczególne warunki – np. uzyskać odrębną zgodę. Co ważne – od 25 maja taka zgoda będzie mogła zostać udzielona drogą elektroniczną (np. przez zaznaczenie odpowiedniego checkboxa) – obecnie można udzielić jej tylko w formie pisemnej.
Wśród danych szczególnych kategorii (obecnie znanych jako dane wrażliwe) są m.in. informacje o stanie zdrowia, pochodzeniu etnicznym czy orientacji seksualnej lub poglądach politycznych.
Poinformuj użytkowników!
RODO lub jak kto woli GDPR, wymaga od Ciebie abyś przekazał użytkownikowi cały szereg istotnych informacji dotyczących jego uprawnień, ale także Ciebie – jako administratora jego danych osobowych. Obowiązek ten musisz spełnić w trakcie zbierania danych od użytkownika.
Jakie to są informacje? Szczegóły znajdziesz w naszej infografice.
Prawo do bycia zapomnianym
Użytkownik będzie mógł (ale nie zawsze!) zażądać od Ciebie usunięcia informacji, które o nim posiadasz – nazywa się to prawem do bycia zapomnianym. Co ważne – prawo do bycia zapomnianym nie ma charakteru absolutnego, więc nawet jeśli otrzymasz takie żądanie to niektóre dane będziesz mógł, a nawet musiał, przetwarzać dalej – np. dane niezbędne do wypełnienia obowiązków związanych z rachunkowością.
[lgpromo title=”Potrzebujesz pomocy z RODO?” desc=”Prawnicy z Legal Geek specjalizują się w ochronie danych osobowych!” url=”https://legalgeek.pl/prawnik-rodo” urldesc=”Zobacz szczegóły!”]
To tylko niektóre z obowiązków, które czekają przedsiębiorców w związku z RODO. Więcej o RODO dowiesz się między innymi z naszego darmowego e-booka, w którym szerzej opisujemy zmiany nadchodzące wraz z rozporządzeniem o ochronie danych osobowych: Przewodnik prawny RODO.